• Thứ Ba, 01/09/2009 06:50 (GMT+7)

    IPS: Trợ thủ của quản trị mạng

    Hệ thống phát hiện và ngăn ngừa xâm nhập (Intrusion Prevention System - IPS) là giải pháp phát hiện xâm nhập và có thể tự động ngăn chặn các cuộc tấn công vào hệ thống mạng. Những ưu điểm và hạn chế của giải pháp này là gì?

    Khi nhu cầu quản trị thay đổi

    Astro - công ty đang vận hành hệ thống dịch vụ phát thanh truyền hình có thu phí cho các hộ gia đình tại Malaysia, Hồng Kông, Brunei, Ấn Độ... Hệ thống của Astro hiện có khoảng 500 server đặt ở khắp nơi trên thế giới. Hệ thống website của Astro có hỗ trợ giao dịch và thanh toán trực tuyến. Vì vậy, việc bảo vệ ATTT cho người dùng và hệ thống là hết sức quan trọng.

    Tuy nhiên, khi xuất hiện một bản vá mới cho hệ điều hành Windows hay bất cứ phần mềm nào thì lập tức cả 500 server của Astro đều cần phải được cập nhật. Đây là công việc gần như bất khả thi. Trong khi đó, nhân sự vận hành và đảm bảo ATTT cho toàn bộ hệ thống này chỉ có 3 người!

    Ông Chaiw Kok Kee, Giám đốc
    Tiếp thị Công ty Astro (Malaysia)

    Ông Chaiw Kok Kee, giám đốc Tiếp thị Công ty Astro (Malaysia) cho biết thêm, hệ thống mạng và máy móc của Astro hiện nay lại khá cũ, vẫn đang chạy trên phiên bản hệ điều hành Windows XP SP1 nên việc cập nhật các bản vá lỗi lại càng khó khăn hơn. Yêu cầu đặt ra là phải trang bị một hệ thống đảm bảo an ninh tốt nhưng không làm ảnh hưởng đến tốc độ cũng như các hoạt động bình thường khác của công ty.

    Astro đã đầu tư hệ thống IPS của hãng bảo mật McAfee để phát hiện và ngăn ngừa các cuộc xâm nhập từ bên ngoài, đồng thời chống rò rỉ thông tin từ bên trong. Ông Chaiw cho biết, IPS có khả năng tích hợp hoàn toàn với hệ thống cảnh báo virus được cài trên các máy chủ nên khi phát hiện sự xâm nhập sẽ ngay lập tức nhận diện chính xác vị trí bị tấn công. Chính vì vậy, khi bị tấn công thì người QT không cần phải quét điểm yếu trên cả 500 server như trước đây mà tập trung vào một nơi. “Trước khi lắp đặt IPS chúng tôi luôn thụ động theo trò đuổi bắt với những bản vá cập nhật của Microsoft. Mỗi khi hãng này đưa ra 1 bản vá thì chúng tôi lại phải thụ động đưa ra giải pháp ứng phó tạm thời. Áp dụng IPS, chúng tôi chủ động hơn trong việc vá các lỗi trên hệ thống và kiểm soát các nguồn tiếp cận từ bên ngoài. Các kỹ sư của DN không còn thụ động ngồi chờ các bản vá như trước đây mà chủ động thiết lập chính sách ATTT của mình”.

    Hệ thống IPS sẽ cách ly máy tính bị nhiễm mã độc với mạng trung tâm (core network). Khi phát hiện các dấu hiệu xâm nhập hoặc virus tấn công, bộ lọc IPS có thể giữ lại trong vòng khoảng 1 tuần, đủ thời gian cho người QT xử lý.

    IPS đảm nhiệm vai trò là một bộ lọc và ngăn chặn xâm nhập khi xuất hiện những lỗ hổng zero day (lỗ hổng đã được công bố nhưng nhà sản xuất chưa kịp đưa ra bản vá lỗi).

    Bộ lọc – cốt lõi của hệ thống IPS

    Trước đây, tổ chức/DN thường sử dụng hệ thống tường lửa hoặc IDS (Intrusion Detection System – Hệ thống phát hiện sự xâm nhập). Tuy nhiên, IDS có khuyết điểm là đưa ra rất nhiều báo động giả (False Positive), gây quá tải và khó khăn cho người QT mạng. Theo thống kê, IDS chỉ có khả năng xử lý được 10% các cảnh báo, 90% cảnh báo tấn công còn lại người QT phải trực tiếp xử lý. Để khắc phục những điểm yếu của IDS, hệ thống IPS ra đời

    Ông Trần Xuân Sõn, Giám đốc
    sản phẩm Công ty M.Tech
    IPS là thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể tự động ngăn chặn được các cuộc tấn công. Theo ông Trần Xuân Sơn, Giám đốc sản phẩm Công ty M.Tech, khác với IDS, IPS không chỉ đưa ra các cảnh báo mà có thể tự xử lý đến 90% các cảnh báo nhằm giảm thiểu công việc của người QT hệ thống. Những hệ thống IPS phổ biến hiện nay thường là các thiết bị phần cứng được lắp đặt nội tuyến (inline) cách ly giữa hệ thống của tổ chức, DN với người dùng bên ngoài.

    Vì là hệ thống inline nên IPS phải có khả năng phát hiện chính xác luồng thông tin dữ liệu nào sạch và hợp lệ. IPS cũng đủ thông minh và xử lý chính xác đảm bảo không cho gói tin nguy hại đi qua. Nhiệm vụ của IPS là xử lý dữ liệu đầu vào và đưa ra những dữ liệu “sạch” cho hệ thống. Đó là tính năng pro-active (công nghệ phân tích hành vi) của IPS. Công nghệ phân tích hành vi còn giúp người QT liên tục phát hiện được những điểm yếu.

    Ông Sơn cũng cho biết, hiện nay, hầu hết các hãng bảo mật lớn đều phát triển hệ thống IPS. Sự khác nhau của các sản phẩm này dựa trên những thế mạnh bảo mật của riêng từng hãng cộng thêm vài tính năng mới khác.

    Trần Đức

    ID: B0908_66